כיצד להימנע מהתמכרות לרמאים של קריפטו 'דיוג בקרח'

חברת האבטחה בלוקצ'יין CertiK הזכירה לקהילת הקריפטו להישאר עירנית מפני הונאות "דיוג קרח" - סוג ייחודי של הונאת דיוג המכוונת למשתמשי Web3 - שזוהתה לראשונה על ידי מיקרוסופט מוקדם יותר השנה.

בדוח ניתוח של 20 בדצמבר, CertiK מְתוּאָר הונאות דיוג קרח כהתקפה שמרמה משתמשי Web3 לחתום על הרשאות שבסופו של דבר מאפשרות לרמאי לבזבז את האסימונים שלהם.

זה שונה מהתקפות דיוג מסורתיות המנסות לגשת למידע סודי כגון מפתחות פרטיים או סיסמאות, כגון אתרי האינטרנט המזויפים שהוקמו אשר טענו לסייע משקיעי FTX משחזרים כספים אבוד בבורסה.

#CertiKSkynetAlert
1/ דיוג קרח הוא איום ניכר על קהילת Web3
במקום לקבל גישה למפתח הפרטי שלך, הרמאים מרמים אותך לחתום על הרשאות להוציא את הנכסים שלך.
נתאר להלן ממה להיזהר וכיצד להגן על עצמך!
— CertiKAlert (@CertiKAlert) דצמבר 20, 2022

הונאה ב-17 בדצמבר איפה 14 קופי אדם משועממים נגנבו הוא דוגמה להונאה משוכללת של דיוג קרח. משקיע שוכנע לחתום על בקשת עסקה במסווה של חוזה סרט, מה שאפשר בסופו של דבר לרמאי למכור לעצמם את כל הקופים של המשתמש בסכום זניח.

החברה ציינה שסוג זה של הונאה הוא "איום ניכר" שנמצא רק בעולם ה-Web3, שכן משקיעים נדרשים לעתים קרובות לחתום על הרשאות לפרוטוקולי פיננסים מבוזרים (DeFi) איתם הם מקיימים אינטראקציה, שניתן לזייף בקלות.

"ההאקר רק צריך לגרום למשתמש להאמין שהכתובת הזדונית שהם מעניקים לה אישור היא לגיטימית. ברגע שמשתמש אישר הרשאות לרמאי להוציא אסימונים, הנכסים נמצאים בסיכון להתרוקן".

ברגע שרמאי קיבל אישור, הוא יכול להעביר נכסים לכתובת שיבחר.

*דוגמה לאופן שבו פועלת התקפת דיוג בקרח ב-Etherscan. מקור: Certik*

כדי להגן על עצמם מפני דיוג בקרח, CertiK המליצה למשקיעים לבטל הרשאות עבור כתובות שהם לא מזהים באתרי אקספלורר בלוקצ'יין כגון Etherscan, באמצעות כלי אישור אסימון.

מידע נוסף: מייסד שותף של הונאה של OneCoin בשווי 4 מיליארד דולר מודה באשמה, עומד בפני 60 שנות מאסר

בנוסף, כתובות שמשתמשים מתכננים ליצור איתן אינטראקציה צריכות להיבדק במגלי הבלוקצ'יין הללו לאיתור פעילות חשודה. בניתוח שלה, CertiK מצביעה על כתובת שמומנה על ידי משיכות Tornado Cash כדוגמה לפעילות חשודה.

CertiK גם הציעה למשתמשים לקיים אינטראקציה רק עם אתרים רשמיים שהם מסוגלים לאמת, ולהיזהר במיוחד מאתרי מדיה חברתית כמו טוויטר, תוך הדגשת חשבון טוויטר מזויף של Optimism כדוגמה.

*חשבון טוויטר מזויף של אופטימיות. מקור: Certik*

החברה גם המליצה למשתמשים להקדיש כמה דקות כדי לבדוק אתר מהימן כמו CoinMarketCap או Coingecko, המשתמשים היו יכולים לראות שכתובת האתר המקושרת אינה אתר לגיטימי ויש להימנע ממנה.

ענקית הטכנולוגיה מיקרוסופט הייתה הראשונה שהדגישה את הנוהג הזה בבלוג של 16 בפברואר פוסט, שאמר בזמנו כי בעוד שדיוג אישורים הוא דומיננטי מאוד בעולם ה-Web2, דיוג קרח נותן לרמאים בודדים את היכולת לגנוב חלק מתעשיית הקריפטו תוך שמירה על "אנונימיות כמעט מוחלטת".

הם המליצו לפרויקטים של Web3 ולספקי ארנקים להגביר את האבטחה של השירותים שלהם ברמת התוכנה על מנת למנוע את הנטל של הימנעות מהתקפות דיוג קרח המוטלות רק על משתמש הקצה.